Udostępnij za pośrednictwem

Łączenie usługi Azure Front Door Premium z usługą Azure Application Gateway przy użyciu usługi Private Link

Dotyczy: ✔️ Front Door Premium

W tym artykule przedstawiono procedurę konfigurowania usługi Azure Front Door Premium do prywatnego połączenia z usługą Azure Application Gateway przy użyciu usługi Azure Private Link.

Wymagania wstępne

  • Profil usługi Azure Front Door Premium i punkt końcowy. Aby uzyskać więcej informacji, zobacz Tworzenie usługi Azure Front Door.

  • Usługa Azure Application Gateway. Aby uzyskać więcej informacji na temat tworzenia bramy aplikacji, zobacz Kierowanie ruchem internetowym za pomocą Azure Application Gateway i Azure PowerShell.

  • Azure Cloud Shell lub Azure PowerShell.

    Kroki opisane w tym artykule uruchamiają interaktywne polecenia cmdlet programu Azure PowerShell w usłudze Azure Cloud Shell. Aby uruchomić polecenia cmdlet w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

    Możesz również zainstalować program Azure PowerShell lokalnie , aby uruchomić polecenia cmdlet. Jeśli uruchomisz program PowerShell lokalnie, zaloguj się do platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .

Włącz prywatną łączność z Azure Application Gateway

  1. Postępuj zgodnie z instrukcjami w Konfigurowanie usługi Azure Application Gateway Private Link, ale nie wykonuj ostatniego kroku tworzenia prywatnego punktu końcowego.

  2. Przejdź do karty Przegląd usługi Application Gateway, zanotuj nazwę grupy zasobów, nazwę usługi Application Gateway i identyfikator subskrypcji.

  3. W obszarze Ustawienia wybierz pozycję Private Link. Zanotuj nazwę usługi łącza prywatnego widocznej na karcie Nazwa w obszarze Konfiguracja łącza prywatnego

  4. Skonstruuj identyfikator zasobu usługi łącza prywatnego przy użyciu wartości z poprzednich kroków. Format to jest /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}. Ten identyfikator zasobu jest używany podczas konfigurowania źródła usługi Front Door.

Utwórz grupę pochodzenia i dodaj bramę aplikacyjną jako źródło

  1. W profilu usługi Azure Front Door Premium przejdź do pozycji Ustawienia i wybierz pozycję Grupy źródeł.

  2. Wybierz pozycję Dodaj

  3. Wprowadź nazwę grupy pochodzenia

  4. Wybierz pozycję + Dodaj źródło

  5. Poniższa tabela umożliwia skonfigurowanie ustawień źródła:

    Ustawienie Wartość
    Nazwisko Wprowadź nazwę, aby zidentyfikować to źródło.
    Typ źródła Na zamówienie
    Nazwa hosta Wprowadź nazwę hosta odbiornika usługi Application Gateway
    Nagłówek hosta źródłowego Wprowadź nazwę hosta odbiornika usługi Application Gateway
    Port HTTP 80 (wartość domyślna)
    Port HTTPS 443 (ustawienie domyślne)
    Priorytet Przypisz różne priorytety do źródeł dla celów podstawowych, pomocniczych i kopii zapasowych.
    Waga 1000 (wartość domyślna). Używaj wag do rozdzielania ruchu między różnymi źródłami.
    Łącze prywatne Włącz usługę prywatnego łącza
    Wybieranie łącza prywatnego Według identyfikatora lub aliasu
    Identyfikator/alias Wprowadź identyfikator zasobu usługi łącza prywatnego uzyskany podczas konfigurowania usługi Application Gateway.
    Rejon Wybierz region, który pasuje do twojego pochodzenia lub jest mu najbliższy.
    Żądanie wiadomości Wprowadź niestandardowy komunikat do wyświetlenia podczas zatwierdzania prywatnego punktu końcowego.

    Zrzut ekranu przedstawiający ustawienia źródła służące do konfigurowania usługi Application Gateway jako źródła prywatnego.

  6. Wybierz pozycję Dodaj , aby zapisać ustawienia źródła

  7. Wybierz pozycję Dodaj , aby zapisać ustawienia grupy pochodzenia.

Zatwierdź prywatny punkt końcowy

  1. Przejdź do usługi Application Gateway skonfigurowanej za pomocą usługi Private Link w poprzedniej sekcji. W obszarze Ustawienia wybierz pozycję Link prywatny.

  2. Wybierz kartę Połączenia prywatnego punktu końcowego.

  3. Znajdź oczekujące żądanie prywatnego punktu końcowego z usługi Azure Front Door Premium i wybierz pozycję Zatwierdź.

  4. Po zatwierdzeniu stan połączenia zostanie zaktualizowany. Nawiązanie połączenia może potrwać kilka minut. Po skonfigurowaniu możesz uzyskać dostęp do Application Gateway za pośrednictwem Front Door. Bezpośredni dostęp do usługi Application Gateway z publicznego Internetu jest wyłączony po włączeniu prywatnego punktu końcowego. Zrzut ekranu karty połączeń prywatnych punktów końcowych w portalu Application Gateway.

Włącz prywatną łączność z Azure Application Gateway

Postępuj zgodnie z instrukcjami w Konfigurowanie usługi Azure Application Gateway Private Link, ale nie wykonuj ostatniego kroku tworzenia prywatnego punktu końcowego.

Utwórz grupę pochodzenia i dodaj bramę aplikacyjną jako źródło

  1. Użyj polecenia New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject aby utworzyć obiekt w pamięci do przechowywania ustawień sondy zdrowia.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
    -ProbeIntervalInSecond 60 `
    -ProbePath "/" `
    -ProbeRequestType GET `
    -ProbeProtocol Http

  2. Użyj polecenia New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject , aby utworzyć obiekt w pamięci do przechowywania ustawień równoważenia obciążenia.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
    -AdditionalLatencyInMillisecond 50 `
    -SampleSize 4 `
    -SuccessfulSamplesRequired 3

  3. Uruchom polecenie New-AzFrontDoorCdnOriginGroup, aby utworzyć grupę źródeł zawierającą bramę aplikacji.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
    -OriginGroupName myOriginGroup `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -HealthProbeSetting $healthProbeSetting `
    -LoadBalancingSetting $loadBalancingSetting

  4. Za pomocą polecenia Get-AzApplicationGatewayFrontendIPConfig pobierz nazwę konfiguracji adresu IP frontonu usługi Application Gateway.

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
$FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
$FrontEndIPs.name

  5. Użyj polecenia New-AzFrontDoorCdnOrigin, aby dodać bramę aplikacji do grupy źródeł.

    New-AzFrontDoorCdnOrigin ` 
    -OriginGroupName myOriginGroup ` 
    -OriginName myAppGatewayOrigin ` 
    -ProfileName myFrontDoorProfile ` 
    -ResourceGroupName myResourceGroup ` 
    -HostName www.contoso.com ` 
    -HttpPort 80 ` 
    -HttpsPort 443 ` 
    -OriginHostHeader www.contoso.com ` 
    -Priority 1 ` 
    -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
    -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
    -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
    -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
    -Weight 1000 `

    Uwaga

    SharedPrivateLinkResourceGroupId to nazwa konfiguracji adresu IP frontonu bramy aplikacyjnej systemu Azure.

Zatwierdź prywatny punkt końcowy

  1. Uruchom polecenie Get-AzPrivateEndpointConnection , aby pobrać nazwę połączenia prywatnego punktu końcowego, które wymaga zatwierdzenia.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

  2. Uruchom polecenie Approve-AzPrivateEndpointConnection , aby zatwierdzić szczegóły połączenia prywatnego punktu końcowego. Użyj wartości Nazwa z danych wyjściowych w poprzednim kroku, aby zatwierdzić połączenie.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

Ukończ konfigurowanie usługi Azure Front Door

Użyj polecenia New-AzFrontDoorCdnRoute, aby utworzyć trasę, która wiąże punkt końcowy z grupą źródłową. Ta trasa przekazuje żądania z punktu końcowego do grupy źródłowej.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Profil usługi Azure Front Door jest teraz w pełni funkcjonalny po zakończeniu ostatniego kroku.

Włącz prywatną łączność z Azure Application Gateway

Wykonaj kroki opisane w artykule Konfigurowanie Azure Application Gateway Private Link, pomijając ostatni krok tworzenia prywatnego punktu końcowego.

Utwórz grupę pochodzenia i dodaj bramę aplikacyjną jako źródło

  1. Uruchom az afd origin-group create, aby utworzyć grupę pochodzenia.

    az afd origin-group create \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --profile-name myFrontDoorProfile \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

  2. Uruchom az network application-gateway frontend-ip list, aby uzyskać nazwę konfiguracji frontonowego adresu IP usługi Application Gateway.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup

  3. Uruchom polecenie az afd origin create, aby dodać aplikacyjną bramkę jako źródło do grupy źródeł.

    az afd origin create \
    --enabled-state Enabled \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --origin-name myAppGatewayOrigin \
    --profile-name myFrontDoorProfile \
    --host-name www.contoso.com \
    --origin-host-header www.contoso.com \
    --http-port 80  \
    --https-port 443 \
    --priority 1 \
    --weight 500 \
    --enable-private-link true \
    --private-link-location centralus \
    --private-link-request-message 'Azure Front Door private connectivity request.' \
    --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
    --private-link-sub-resource-type myAppGatewayFrontendIPName

    Uwaga

    private-link-sub-resource-type to nazwa konfiguracji adresu IP frontonu aplikacyjnej bramy systemu Azure.

Zatwierdź połączenie prywatnego punktu końcowego

  1. Uruchom az network private-endpoint-connection list aby uzyskać identyfikator połączenia punktu końcowego, które wymaga zatwierdzenia.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways

  2. Uruchom az network private-endpoint-connection approve, aby zatwierdzić połączenie prywatnego punktu końcowego, używając id z poprzedniego kroku.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc

Ukończ konfigurowanie usługi Azure Front Door

Uruchom az afd route create, aby utworzyć trasę, która mapuje punkt końcowy z grupą źródłową. Ta trasa przekazuje żądania z punktu końcowego do grupy źródłowej.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Profil usługi Azure Front Door jest teraz w pełni funkcjonalny po zakończeniu ostatniego kroku.

Typowe błędy, których należy unikać

Poniżej przedstawiono typowe błędy podczas konfigurowania źródła bramy aplikacyjnej systemu Azure z włączoną usługą "Azure Private Link":

  1. Konfigurowanie źródła usługi Azure Front Door przed skonfigurowaniem Azure Private Link na Azure Application Gateway.

  2. Konfigurowanie źródła z typem pochodzenia jako "Application Gateway" zamiast "Niestandardowy". Po wybraniu typu źródła jako "Application Gateway" nazwa hosta pochodzenia jest wypełniana automatycznie adresem IP usługi Application Gateway. Może to prowadzić do błędu "CertificateNameValidation". Temu problemowi można zapobiec w publicznych źródłach poprzez wyłączenie weryfikacji nazwy podmiotu certyfikatu. Jednak w przypadku źródeł z włączonym łączem prywatnym, weryfikacja nazwy podmiotu certyfikatu jest obowiązkowa.

  3. Dodanie pochodzenia bramy aplikacji Azure z wykorzystaniem usługi Azure Private Link do istniejącej grupy pochodzeń zawierającej pochodzenia publiczne. Usługa Azure Front Door nie zezwala na mieszanie źródeł publicznych i prywatnych w tej samej grupie źródeł.

  1. Podanie niepoprawnej nazwy konfiguracji adresu IP frontonu bramy aplikacyjnej Azure jako wartości dla SharedPrivateLinkResourceGroupId.
  1. Podanie niepoprawnej nazwy konfiguracji adresu IP frontonu bramy aplikacyjnej Azure jako wartości dla private-link-sub-resource-type.
  1. Łączna długość nazwy usługi Application Gateway i nazwy konfiguracji usługi Private Link nie może przekraczać 70 znaków, aby uniknąć niepowodzeń wdrażania.

Następny krok

Usługa Private Link z kontem usługi magazynowej

  • Last updated on